PR
要件9 カード会員データへの物理的アクセスを制限すること

 要件9の入退室管理・監視,バックアップ媒体の移送などについて解説する。

9.1 カード会員データを保管、処理、または伝送するシステムへの物理的アクセスを制限および監視するために、適切に施設入館管理を実施する。
9.1.1 機密エリアはカメラを使用して監視する。集めたデータを監査し、他のデータ項目と関連付ける。データは、法律による別の制限がない限り、少なくとも3ヶ月間保管する。
9.1.2 誰でもアクセス可能なネットワーク差込み口への物理的アクセスを制限する。
9.1.3 無線アクセス・ポイント、ゲートウェイ、携帯型装置への物理的アクセスを制限する。

 入退室管理を実施するときに最初に考えなければならない対象者は,その機密エリア内での作業者である。次に考えなければならないのは,権限のない訪問者(付き添われて入室するような場合)である。

 機密エリアには監視カメラの設置が義務付けられているが,単に設置し,管理し,ログを保管するだけでは十分ではない。撮影の死角をなくすことを目的とし,十分な撮影記録を取るためにカメラの向き,部屋の照度,撮影データの保管方法(DVD,ハードディスクなどの記録容量,耐久年数など)についても検討する必要がある。

 記録は,少なくとも3カ月保管することになっている。保管されている媒体の保管とともに,記録保管期間経過後の記録廃棄処理についても検討する必要がある。この映像記録は,重要な証拠となるので,場合によっては,複製をリモートサイトや商用施設に預けている場合もあるだろう。このような場合には,複製に対しての対処も検討する必要がある。一部の国内のガイドラインでは,保管期間後については,リモートサイトの対象データも廃棄対象として取り決めているものも出始めているので注意が必要である。

 入室時における無権限者を連れて入るような場合,または権限者の後ろについて許可なく入室してしまうような場合について少し考えてみる(図3)。

図3●共連れのイメージ
図3●共連れのイメージ

 このような入室方法を「共連れ」と呼ぶ。無権限者であっても,正当な理由(防火設備点検,相互牽制など)のために入室権限のない部屋に入室することはあるかもしれない。しかし,正当な権限者の後ろからすき間を縫って入室してしまうような場合も考えられる。

 入室の共連れ対策の製品にはいろいろあるが,扉での防止製品を紹介しよう。扉での防止製品は,大きく2種類に分けられる。1枚扉と2枚扉である。1枚扉タイプを「共連れ検出」で,センサーによって認証された人数と入室しようとする人数をカウントし共連れを検出する。2枚扉タイプは「共連れ防止」で,1枚目の扉で認証し,前室に入室後2枚目の扉でも認証するように構成される。2枚目の扉は,1枚目で認証された人数と前室に在室している人数とが一致しないと,認証されても開錠されない。

9.2 特にカード会員データにアクセス可能な場所において、すべての担当者が従業員と訪問者を容易に区別するのに役立つ手順を作成する。
「従業員」とは、正社員またはパートタイムの従業員・人員、現場に常駐するコンサルタントのことである。「訪問者」とは、ベンダー、従業員のゲスト、サービス作業員、短時間(通常は1日を超えない)施設に立ち入る必要のある人々のことである。
9.3 すべての訪問者に対して次のことを徹底する。
9.3.1 カード会員データが処理または保管されるエリアに立ち入る際は、事前に許可を受ける。
9.3.2 有効期限があり、従業員ではないことを明示する物理トークン(例えば、バッジ、アクセス・デバイス)を着用させる。
9.3.3 施設を退去する時、または有効期限切れの際に、物理トークンの返却を求める。
9.4 訪問者ログを使用して、訪問者の行動に関する物理監査証跡を記録する。このログは、法律による別の制限がない限り、少なくとも3ヶ月間保管する。

 カード会員データへのアクセス可能な場所で,従業員とそれ以外を容易に識別できるようにする方法としては,社員用バッチ,訪問者用バッチの着用が一般的である。監査証跡として重要である記録は,保管期間,管理者をひも付けておくべきである。訪問者用,社員用を問わず各バッチは,貸与返却(社員の場合には,退社や異動などのタイミングも考慮する)の記録を残すだけでなく,容易に見える位置に身につけることを徹底する必要がある。

表6●関連製品
分野 メーカー/ベンダー 製品/サービス
監視カメラ 三菱電機 Roboty(CIT-7700)
松下電器産業 DG-NF302
入退室管理システム 三菱電機 DIGITALMELOOK
装飾窓フィルム LALBAS 装飾窓フィルム
認証デバイス ソニー PaSoRiパソリ
デンソーウェーブ PR-450UDM
プリンタ,複合機 カシオ計算機 SECUREGATE CD
セイコーエプソン LPM6000
沖データ C8650dn

池嶋 透
ビジネスアシュアランス / ネットワンシステムズ セキュリティ事業推進本部 コンサルティング部 第4チーム
某社認証局運用を経て,2008年2月,ネットワンシステムズ入社。前職では,ポリシー策定、秘密鍵管理、顧客管理、プロジェクト管理を担当。現在はビジネスアシュアランス立ち上げ設立に従事。